Причиной атаки стал конфликт между организацией Spamhaus, составляющей списки распространителей спама, и голландским провайдером Cyberbunker. Конфликт разгорелся после того, как Spamhaus включила Cyberbunker в списки спамеров. Cyberbunker — один из самых радикально настроенных «абузоустойчивых» провайдеров. Его услугами пользовалась Пиратская Бухта. Штаб-квартира и сервера Cyberbunker расположены пятиэтажном здании бывшего военного бункера НАТО — отсюда и название. В ответ на действия Spamhaus Cyberbunker начал атаку.
Удар приняла на себя CDN CloudFlare, предоставляющая в том числе и защиту от DDoS. Атака началась 18 марта и на следующий день выросла до 90 Гб/с. 21 марта атака прервалась, но 22 продолжилась с новой силой, увеличившись до 120 Гб/с. Так как завалить саму CloudFlare не удалось, атакующие вскоре переключились на провайдеров, с которыми работает CloudFlare, и увеличили мощность атаки до рекордных 300 Гб/с. Атака затронула сети крупнейших провайдеров, которые в отдельные моменты оказывались перегруженными. 23 марта значительные проблемы были на лондонской точке обмена трафиком. В час пик, когда трафик обычно составляет около полутора терабит, она не справлялась с нагрузкой. Провал хорошо виден на графике:
Атака велась методом DNS amplification — серверы атакующих рассылали DNS-серверам по всему интернету множество рекурсивных запросов с поддельными обратными адресами. Ответ на такой запрос длиной несколько десятков байт может весить несколько килобайт, и отправляется он по адресу жертвы, «усиливая» таким образом атаку. С помощью DNS amplification можно добиться гораздо большего трафика, чем обычным ботнетом, так как в роли «зомби» оказываются не пользовательские компьютеры со слабым каналом, а серверы. Чтобы провести такую атаку, надо иметь списки адресов уязвимых DNS-серверов. Судя по всему, списки Cyberbunker были очень длинными и качественными. Об этой уязвимости DNS известно уже давно, но до сих пор миллионы серверов по всему миру не закрыли её.
ссылка на оригинал статьи http://habrahabr.ru/post/174483/
Добавить комментарий